Azamat

Вот не динамический нат на пул белых адресов. Сейчас там подсеть /24 на 1 белый. Но можно и сделать чтобы вплоть до каждого отельного на белый. вот выдержка из файла в автозагрузке (в таблице 40 ip адреса для НАТ instances, в таблице 30 "серые" подсети , которые натятся): таблица 30 заполняется примерно таким образом: ${fwcmd} table 30 add 192.168.59.0/24 81 ${fwcmd} table 30 add 192.168.46.0/24 82 т.е. подсеть 59.0/24 будет натиться через 81 инстанс ipfw nat со своим назначенным IP адресом из след. таблицы 40 таблица 40 заполняется скриптом # IP POOL at table 40 START_PREFIX="/sbin/ipfw table 40 add xxx.xxx.xxx" NUMBER=0 while [ $NUMBER -lt 123 ]; do NUMBER=$(($NUMBER+1)) $START_PREFIX.$NUMBER $NUMBER done # NAT # NUMBER2=0 while [ $NUMBER2 -lt 100 ]; do NUMBER2=$(($NUMBER2+1)) /sbin/ipfw nat $NUMBER2 config ip xxx.xxx.xxx.$NUMBER2 reset same_ports deny_in done ${fwcmd} add 20100 nat tablearg ip from table\(30\) to any out via ${ext_if} ${fwcmd} add 20200 nat tablearg ip from any to table\(40\) in via ${ext_if}

Мы для редиректа держим отдельный natd на VLAN сервере (до НАТ). трафика обычно не много, поэтому нагрузка незаметна. /sbin/natd -proxy_rule port 80 server ${billing_IP}:81 -p 3388 yes -a ${int_IP} До этих правил пропускается трафик разрешенных пользователей, потом остальной трафик на 80 порт разворачивается. divert 3388 tcp from any to not ${billing_IP} dst-port 80 out via ix0 divert 3388 tcp from ${billing_IP} 81 to any in via em0 Ну и на билинге сама страница с оповещенем вешается на 81 порт.

вот выдержка из файла в автозагрузке (в таблице 40 ip адреса для НАТ instances, в таблице 30 "серые" подсети , которые натятся): таблица 30 заполняется примерно таким образом: ${fwcmd} table 30 add 192.168.59.0/24 81 ${fwcmd} table 30 add 192.168.46.0/24 82 таблица 40 заполняется скриптом # IP POOL at table 40 START_PREFIX="/sbin/ipfw table 40 add xxx.xxx.xxx" NUMBER=0 while [ $NUMBER -lt 123 ]; do NUMBER=$(($NUMBER+1)) $START_PREFIX.$NUMBER $NUMBER done # NAT # NUMBER2=0 while [ $NUMBER2 -lt 100 ]; do NUMBER2=$(($NUMBER2+1)) /sbin/ipfw nat $NUMBER2 config ip xxx.xxx.xxx.$NUMBER2 reset same_ports deny_in done ${fwcmd} add 20100 nat tablearg ip from table\(30\) to any out via ${ext_if} ${fwcmd} add 20200 nat tablearg ip from any to table\(40\) in via ${ext_if} На сейчас показатели такие: input (Total) output packets errs idrops bytes packets errs bytes colls drops 631k 0 0 496M 626k 0 493M 0 0 627k 1 0 491M 619k 0 493M 0 0 629k 0 0 493M 622k 0 492M 0 0 607k 0 0 474M 600k 0 470M 0 0 618k 0 0 483M 611k 0 486M 0 0 615k 0 0 480M 608k 0 480M 0 0 635k 0 0 503M 627k 0 503M 0 0 На графике потолок был 3.6Гбит/с (IN) / 825Мбит/с (Out) через ix0, похоже процессора впритык хватит на 4Гбит/с IN, что себя вполне окупает. Утилизация процессора: last pid: 84751; load averages: 5.35, 5.50, 5.59 up 33+05:42:15 22:15:17 107 processes: 8 running, 75 sleeping, 24 waiting CPU 0: 0.0% user, 0.0% nice, 8.2% system, 75.5% interrupt, 16.3% idle CPU 1: 0.0% user, 0.0% nice, 6.1% system, 83.7% interrupt, 10.2% idle CPU 2: 0.0% user, 0.0% nice, 6.1% system, 75.5% interrupt, 18.4% idle CPU 3: 0.0% user, 0.0% nice, 2.0% system, 79.6% interrupt, 18.4% idle Mem: 24M Active, 187M Inact, 1274M Wired, 1207M Buf, 10G Free Swap: 2048M Total, 2048M Free

выше сразу написал: наш простой i7-3770 как НАТ срв дает такие данные ipfw nat

что то маловато для такой нагрузки на проц. наш простой i7-3770 как НАТ срв дает такие данные: 531k 0 0 447M 526k 0 446M 0 0 516k 0 0 433M 511k 0 432M 0 0 517k 0 0 434M 512k 0 433M 0 0 518k 0 0 435M 513k 0 434M 0 0 545k 0 0 458M 540k 0 457M 0 0 513k 0 0 428M 508k 0 428M 0 0 при: last pid: 80973; load averages: 3.86, 3.40, 3.46 up 32+07:36:58 00:10:00 107 processes: 7 running, 76 sleeping, 24 waiting CPU 0: 0.0% user, 0.0% nice, 5.9% system, 73.5% interrupt, 20.6% idle CPU 1: 0.0% user, 0.0% nice, 0.0% system, 67.6% interrupt, 32.4% idle CPU 2: 0.0% user, 0.0% nice, 0.0% system, 64.7% interrupt, 35.3% idle CPU 3: 0.0% user, 0.0% nice, 0.0% system, 58.8% interrupt, 41.2% idle Mem: 24M Active, 196M Inact, 1264M Wired, 1207M Buf, 10G Free

Плз не придумывайте на пустом месте, ни о каких обязательных доп. услугах речь не идет. Получится утилилзировать исходящий - хорошо, нет - пох. Предоставьте уж гугл и яндекс своей судьбе, что их вспоминать всуе? Речь идет о СВОИХ ресурсах, свой ДНС который надо раз в месяц добавить зону, свой почтовик, в который надо раз в неделю добавить новый аккаунт и тд. Ради этого держать в штате человека ? можно, но надо ли ?

Как раз в это и вложено, а вот для обслуживание собственных инфом. ресурсов нужны удаленные сотрудники. Все остально - опционально.

цель - найти заинтересованных людей которые могут удаленно обеспечить функционирование сети в той части, которая требует не много физического присутствия. Я думаю, что для них подробностей вполне достаточно. Для большинства спецов это не сложная задача которая к тому же даст "прибавку к пенсии".

Уважаемые коллеги. Есть реальная проблема с квалифицированными кадрами в ISP компании. Проблема региона как такового, банановая республика, окраина бывшего СССР. Те, кто посильнее - набираются ума-разума и убывают в более холодные страны. Т.к. работу вести все равно надо, сейчас пытаемся выделить те части, которые можно отдать на удаленку без серьезного ущерба для функциональности и те части, которые надо оставлять себе. Соответственно, просьба к местным старожилам - помогите расписать набор должностей (не коммерческого отдела и не отдела тех. поддержки частников), которые нужны для обеспечения работы ISP с 15К абонентов. Дальше будем искать людей, согласных на удаленную работу по указанным позициям. Возможно, есть устойчивая группа толковых людей, которые могли бы взять на обслуживание то, что можно отдать на удаленку. 1. Например, обеспечение работы внутренних информационных ресурсов - ДНС, почтовый сервер, сервер для резервного копирования конфигураций смонтированного оборудования. Под сервера выделены HP G5. Скорее всего нужны навыки программирования на скриптовых языках. Эту часть скорее всего можно отдать на удаленку ? 2. Хотелось бы что то вроде хостинг площадки, есть достаточно много не утилизированного исходящего (по меркам региона). Соотв. нужны люди, которые могли бы поднять разово и потом поддерживать работоспособность серверов и решать вопросы от клиентов. В их распоряжении будут руки местных сотрудников если будет необходимость в работах на железе. Каков функционал необходим от этой группы людей ? Насколько оперативно могли бы решаться вопросы с advanced поддержкой сервисов в случае удаленного администрирования ? 3 ... ?? что можно в этом и далее пунктах ? Если получится систематизировать чей то опыт - наверное было бы полезно для многих, кто испытывает подобные проблемы и упростить им подбор удаленных сотрудников. Заранее спасибо и все такое :)

А чем любой приличный HP G5-6 не подойдет-то на 2 Гбит/с ? Реально "детский" объем для Линкус/Фрибсд - там уж что лучше получается. 2-4 igbX Uptime по паре лет такие легко держат. В сумме денег будет 1,5К долл.

E3 процессоры в целом идентичны core i7, только с поддержкой ECC и может быть большим суммарным объемом памяти + двухпрцессорность. i7 с запасом до 3,5Гбит/с на одной голове. Все остальное если есть лишние деньги.

G5 не справится, задыхался на 1,2Гб G6 у нас натил на двух головах L5520 порядка 3Gbps - in,700 Mbps - out, но это был его потолок сейчас i7 3770 выдает до 3,4 Гб на вход, 800 Мб на выход и еще есть резерв (надеюсь до 4Гб) По надежности - зависит от комплектухи, с хорошим блоком питания относительно недавно собранный сервер дает такой uptime, мамка ASUS или MSI, десктопные, но подороже. homefake# uptime 10:10AM up 282 days, 19:12, 8 users, load averages: 0.35, 0.33, 0.28 еще одна собранная машинка: $ uptime 10:01AM up 548 days, 18:59, 6 users, load averages: 0.12, 0.15, 0.10 тогда еще топовым был проц CPU: Intel® Core i5-2310 CPU @ 2.90GHz (2909.81-MHz K8-class CPU) Главное не жаться на блоках питания, долл за 100 ставить.

У нас не серверная платформа, обычный core i7-3770 в приличной десктопной мамке 8 Гб памяти утренняя загрузка (40 проц от вечерней) на НАТ сервере (int ix0 - смотрит в мир) 188k 0 0 214M 126k 0 38M 0 0 188k 0 0 214M 125k 0 38M 0 0 200k 0 0 230M 133k 0 40M 0 0 195k 0 0 220M 132k 0 39M 0 0 Загрузка проца: last pid: 90986; load averages: 2.67, 2.89, 3.03 up 9+20:52:41 13:25:43 112 processes: 6 running, 81 sleeping, 25 waiting CPU 0: 0.0% user, 0.0% nice, 1.2% system, 46.1% interrupt, 52.8% idle CPU 1: 0.0% user, 0.0% nice, 1.2% system, 47.6% interrupt, 51.2% idle CPU 2: 0.0% user, 0.0% nice, 0.8% system, 43.7% interrupt, 55.5% idle CPU 3: 0.0% user, 0.0% nice, 1.6% system, 43.7% interrupt, 54.7% idle Mem: 26M Active, 185M Inact, 1220M Wired, 1207M Buf, 10G Free Азамат подскажите какую серверную платформу используете, какой проц.

а сервер под freebsd для этих же целей не будет ли более проще в эксплуатации ? core i7 легко натит 3,5Гб / 900Мбит, в задаче простого роутинга уж 5-6Гбит пропихнет. такая же машинка лопатит в сумме: input (Total) output packets errs idrops bytes packets errs bytes colls drops 1.1M 0 0 914M 1.1M 0 911M 0 0 1.1M 0 0 921M 1.1M 0 919M 0 0 1.1M 0 0 921M 1.1M 0 918M 0 0 1.0M 0 0 898M 1.0M 0 896M 0 0 1.0M 0 0 891M 1.0M 0 889M 0 0 1.0M 0 0 906M 1.0M 0 904M 0 0 1.0M 0 0 884M 1.0M 0 882M 0 0 1.0M 0 0 875M 1.0M 0 873M 0 0 При: last pid: 86434; load averages: 2.32, 2.75, 2.88 up 9+08:35:21 19:48:49 108 processes: 7 running, 75 sleeping, 26 waiting CPU 0: 0.0% user, 0.0% nice, 0.0% system, 41.7% interrupt, 58.3% idle CPU 1: 0.0% user, 0.0% nice, 0.0% system, 25.0% interrupt, 75.0% idle CPU 2: 0.0% user, 0.0% nice, 0.0% system, 25.0% interrupt, 75.0% idle CPU 3: 8.3% user, 0.0% nice, 0.0% system, 25.0% interrupt, 66.7% idle

на опт. патчкорде сделаны и закреплены несколько петель через палец. такой самодельный аттен. 1 порт Cisco пустой. Кстати, еще такой вопрос к знающим людям. Почему-то Cisco ловит тонну input error при подключении в гнездо Te0/X интерфейса с платы DA520 через DA кабель, хотя две карты объединяются таким кабелем на ура без ошибок. Поэтому и сделали вынужденно подключение через SFP+ трансиверы и 5м патчкорд, хотя куплены и 5 штук DA кабелей. Победимы ли эти input error ? Земля сделана нормально.

заменили на другой трансивер. все равно дергается зараза. результат передергивания выглядит так. Возможно, на клиентской стороне потеря 1-2 пакетов в пинге. 298k 1 0 338M 231k 0 103M 0 0 283k 0 0 317M 208k 0 95M 0 0 ---> 59k 0 0 51M 25k 0 9.1M 0 0 259k 0 0 297M 185k 0 70M 0 0 294k 0 0 338M 215k 0 87M 0 0 302k 0 0 344M 231k 0 96M 0 0 304k 0 0 344M 231k 0 98M 0 0 295k 0 0 334M 224k 0 95M 0 0

Доброго дня Почему то многократно в течение дня рандомно передергивается второй интерфейс на плате DA520 - ix1, при этом ix0 все в порядке. Подключен к 10g порту на каталисте оптическими sfp+ модулями 1270/1330 OS: FB 9.1 версия драйвера 2.4.10 в логе имеем: Feb 3 10:27:17 fake_vlan-10G kernel: ix1: link state changed to DOWN Feb 3 10:27:17 fake_vlan-10G kernel: ix1: link state changed to UP Feb 3 10:27:19 fake_vlan-10G kernel: ix1: link state changed to DOWN Feb 3 10:27:19 fake_vlan-10G kernel: ix1: link state changed to UP так бывает раз 6-7 за день. На каталисте в логе нет ответных записей, что интерфейс падал/поднимался. статистика с физ. порта каталиста в норме: Optical Optical Temperature Voltage Tx Power Rx Power Port (Celsius) (Volts) (dBm) (dBm) --------- ----------- ------- -------- -------- Te0/2 51.3 3.25 0.0 -0.2 Может быть, кто то сталкивался с таким поведением ?

все по местным рекомендациям. OS: FB 9.1 ipfw nat в 120 instances, dummynet по таблицам

У нас система из 2 серверов (мост-шейпер + нат) гоняет In: 3,2Гбит/с + Out: 850Мбит/с, мост на core i7-3770, нат на 2 x L5520 Но, нат тоже будем переводить на i7-3770K, по запасу производительности надеемся до 5Гб/с, если что-то вдруг не поднимет нагрузку экспоненциально. В табл. шейпера порядка 7,5К IP адресов. OS: FB 9.1 Суммарно через мост input (Total) output packets errs idrops bytes packets errs bytes colls drops 1.1M 0 0 890M 1.0M 0 890M 0 0 В топе на мосте еще суммарно 40.4% idle

Со стороны Cisco данные есть, а со стороны карты не смогли найти метод. Может быть, кто то знает, как получить что то вроде: Optical Optical Temperature Voltage Tx Power Rx Power Port (Celsius) (Volts) (dBm) (dBm) --------- ----------- ------- -------- -------- Te0/2 51.2 3.30 2.1 -0.2 с SFP+ модулей в карте ?

у вас полный трафик через машину или на каждом интерфейсе по 1Мппс ( в сумме будет 2) ? Мост и у нас в сумме всего трафика дает до 950Кппс и 800-900Мбайт/с И вопрос по самой платформе - что лучше: 1 проц Core i7-3770 или пара Xeon L5520 ? Сейчас в работе как раз таки Xeon. Может быть лучше перенести функционал на Core i7 (NAT)?

Доброго дня. плз подскажите, если кто сталкивался с таким комплектом: FreeBSD 9.1 + Intel DA520 (в качестве нат сервера) ix0 - приходящий интерфейс с пачкой "белых" адресов, ipfw nat ix1 - смотрит в сторону внутр. сети (назначен "серый" адрес, шлюз по умолчанию для внутр. сети) vmstat -i interrupt total rate irq256: ix0:que 0 612162665 20058 irq257: ix0:que 1 548088772 17958 irq258: ix0:que 2 594877323 19492 irq259: ix0:que 3 553994875 18152 irq260: ix0:que 4 540401685 17707 irq261: ix0:que 5 539277933 17670 irq262: ix0:que 6 520318861 17049 irq263: ix0:que 7 548159861 17961 irq264: ix0:link 20 0 irq265: ix1:que 0 228662972 7492 irq266: ix1:que 1 223640287 7327 irq267: ix1:que 2 224014912 7340 irq268: ix1:que 3 218457439 7158 irq269: ix1:que 4 216443431 7092 irq270: ix1:que 5 214878002 7040 irq271: ix1:que 6 216399305 7090 irq272: ix1:que 7 216979000 7109 Правильно ли то, что на ix0 в три раза больше прерываний, чем на ix1 (собственно трафик-то один и тот же по объему, только инвертирован по направлению). Если аномалия - в каком месте покрутить ? На вход. интерфейсе ix0 input (ix0) output packets errs idrops bytes packets errs bytes colls drops 168k 0 0 191M 120k 0 51M 0 0 176k 0 0 199M 128k 0 58M 0 0 на исх. ix1 - то же самое.

А как на Cisco 3560E узнать размеры буфера ? там 24 Гб и 2 по 10Г. Получили 2 шт, еще не ставили в работу.

Ситуация: есть свич агрегации Cisco 3750, на нем сформированы mvr группы и подключены транки на этажки, в которых стоят 2950T в момент, когда на доме свич перегружается например по питанию, в течение минут 5 в транковый порт льется поток мультикаста мегабит в 300. Естественно что линк в 100 мбит кладется (1Гб этот шторм переживают не замечая). что характерно - на свиче агрегации наблюдается след. картина: (влан 970 - mvr влан), к 5 порту подключен транк до этажки, где в данный момент произошла перезагрузка свича 2950Т. Порт 1/0/24 - транк на ядро. show ip igmp snooping mrouter 970 Gi1/0/5(dynamic), Gi1/0/24(dynamic) обычная рабочая картина: когда в 970 влане только 1 mrouter через транк в ядро, тогда все работает изумительно. show ip igmp snooping mrouter 970 Gi1/0/24(dynamic) Соотв. вопрос - что может вызвать появление в списке mrouter транка на дом ? Естественно, что там порт mvr type source. Может быть кто то сталкивался с такой проблемой ? Отключение tcn flood не помогает. Пробовал делать static привязку mrouter к порту - все равно появляется динамический маршрут на mrouter в транке на проблемыный дом. Плз проясните сознание. Пока миримся как с фичей.

пробовали VACL c permit ip any 224.0.0.252 action drop